本稿の著者Shaun O’Meara(ショーン・オメーラ)氏は、MirantisのグローバルフィールドCTO。企業のITインフラストラクチャの設計と構築において20年間、顧客と仕事をしてきた。
ーーー
数週間前、ミネソタ大学の研究者らにより「偽善者のコミット」と彼らが呼ぶものをLinuxカーネルに投入するメソッドが展開されたという憂慮すべきニュースがLinuxコミュニティを揺るがした(ただし結果的には完全に実行されなかったことが明らかになっている)。その主意は、検知が困難な振る舞いを配布し、それ自体には意味はないが、後に攻撃者によって整合されることで脆弱性が顕在化し得るというものだった。
その後すぐに、ある意味同じように憂慮すべきことだが、大学が少なくとも一時的にカーネル開発へのコントリビューションを禁じられたことが発表された。続いて、研究者らが公式に謝罪した。
脆弱性の発見と開示は往々にして厄介なものだが、世界最大かつ最も重要なオープンソースプロジェクトに対して、技術的に複雑な「レッドチーム」プログラムを実行するのは、少々やりすぎだと感じる。こうした振る舞いが爆発的な広がりを持つ可能性があることを理解しないほど、研究者や研究機関が無知であるとか、怠慢であるなどとは考えにくい。
同様に確かなこととして、メンテナーとプロジェクトガバナンスは、ポリシーを強化し、時間の浪費を
コメント